SpringBoot进阶SpringBoot中如何解决跨域问题
什么是跨域问题
浏览器出于安全考虑,会限制跨域访问,就是不允许跨域请求资源,要求协议,IP和端口必须都相同,其中有一个不同就会产生跨域问题,这就是同源策略。
简单的说A应用只能访问A应用对应的后台返回的数据,B应用只能访问B应用后台的数据,如果A应用通过Ajax请求了B应用对应的后台数据的时候就会出现跨域的问题。但是在实际开发中,这种调用方式又是被大家广泛使用的。非同源限制
什么是非同源限制?浏览器为了安全限制了一些操作,限制了一些请求是无法访问非同源的操作的。无法读取非同源网页的Cookie、LocalStorage和IndexedDB无法获取到非同源网页的DOM无法向非同源地址发送Ajax请求操作CORS技术
为了解决上述问题,W3C提出了跨院资源共享方案,也就是CORS技术(Cross-Origin Resource Sharing)
CORS 可以在不破坏现有规则的情况下,通过后端服务器实现CORS接口,从而实现跨域通信。CORS请求分为两类:简单请求和非简单请求,分别对跨域通信提供了支持操作。什么是简单请求
在CORS技术出现之前,在HTTP请求头中不能包含任何的自定义字段,而且HTTP请求信息也不能操作如下的一些AcceptAccept_LanguageContent_LanguageLast-Event-IDContent-Type(application/x-www-form-urlencoded、multipart/form-data、text/plain)
根据对简单请求的的分析,CORS的策略是在请求时在请求头中增加一个Origin字段,服务器收到请求后,根据该字段判断是否允许该请求访问。如果允许,就在HTTP请求头信息中添加Access-Control-Allow-Origin字段,并且返回正确的字段如果不允许,就不加入该字段
处理Access-Control-Allow-Origin字段,还有其他的字段可以描述CORS返回结果Access-Control-Allow-Credentials:可选,用户是否可以发送、处理cookie。Access-Control-Expose-Headers: 可选,可以让用户拿到的字段,有即可字段无论设置与否都可以获取到,包括Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。什么是非简单请求
对于非简单请求的跨源请求,浏览器会在真实请求发出前增加一次OPTION请求,称为预检请求。在预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到HTTP头信息字段中,询问服务器是否允许这样的操作。
例如在一个GET请求中,与CORS相关的字段有:请求使用的HTTP方法 Access-Control-Request-Method请求中包含的自定义头字段Access-Control-Request-Headers
服务器收到请求时,需要对Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回HTTP头信息中添加如下的的内容Access-Control-Allow-Origin:Access-Control-Allow-Methods :真实请求允许的方法Access-Control-Allow-Headers :服务器允许使用的字段Access-Control-Allow-Credentials :是否允许用户发送、处理CookieAccess-Control-Max-Age :预检请求的有效期,单位为秒,有效期内,不会重复发送预检请求在Spring Boot中如何实现跨域
对于CORS的跨域请求,主流的解决方案有如下几种添加跨域配置类重写WebMvcConfigurer使用@CrossOrigin注解手动设置响应头自定义过滤器
对于前后端分离的项目还可以通过配置Nginx的方式实现跨域操作
CorFilter / WebMvConfigurer / @CrossOrigin 需要 SpringMVC 4.2以上版本才支持,对应springBoot 1.3版本以上上面前两种方式属于全局 CORS 配置,后两种属于局部 CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则
所以可以通过 @CrossOrigin 注解来进行细粒度更高的跨域资源控制。其实无论哪种方案,最终目的都是修改响应头,向响应头中添加浏览器所要求的数据,进而实现跨域 添加跨域配置类
新建一个全局的跨域配置文件,然后添加对应的Cors跨域信息,包括放行原始域、发送Cookie等操作,代码如下。@Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { //1. 添加 CORS配置信息 CorsConfiguration config = new CorsConfiguration(); //放行哪些原始域 config.addAllowedOrigin("*"); //是否发送 Cookie config.setAllowCredentials(true); //放行哪些请求方式 config.addAllowedMethod("*"); //放行哪些原始请求头部信息 config.addAllowedHeader("*"); //暴露哪些头部信息 config.addExposedHeader("*"); //2. 添加映射路径 UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource(); corsConfigurationSource.registerCorsConfiguration("/**",config); //3. 返回新的CorsFilter return new CorsFilter(corsConfigurationSource); } }重写WebMvcConfigurer
重新实现WebMvcConfigurer@Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") //允许跨域访问 .allowedOrigins("*") // 允许跨域访问的源 .allowedMethods("POST","GET","PUT","DELETE","OPTIONS") //允许请求的方式 .maxAge(168000) // 预检间隔时间 .allowCredentials(true); // 是否发送Cookie } }注解 @CrossOrigin
注意使用这个注解只是对局部接口实现了跨域操作,代码如下@RestController @CrossOrigin(origins = "*") public class HelloController { @RequestMapping("/hello") public String hello() { return "hello world"; } }
如果是在方法上使用这个注解则表示只允许这个方法进行跨域访问@RequestMapping("/hello") @CrossOrigin(origins = "*") //@CrossOrigin(value = "http://localhost:8081") //指定具体ip允许跨域 public String hello() { return "hello world"; }手动设置过滤头@RestController @RequestMapping("/api") public class ApiController { @GetMapping("getList") public String getList(HttpServletResponse response){ response.addHeader("Access-Allow-Control-Origin","*"); return "OK"; } }
自定义过滤器@Component public class CorsFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) servletResponse; response.setHeader("Access-Control-Allow-Origin","*"); response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,DELETE"); response.setHeader("Access-Control-Max-Age","3600"); response.setHeader("Access-Control-Allow-Headers","x-requested-with,content-type"); filterChain.doFilter(servletRequest,servletResponse); } @Override public void destroy() { } }
当然自定的话就会涉及到这个配置如何去使用的问题。在之前的文章中我们有讲过如何使用自定义的拦截器。这里我们就在过多说明,有兴趣的读者可以查看之前的文章。Nginx服务器反向代理
通过反向代理监听同样的端口、同样的域名的不同访问地址。例如可以在Nginx配置中进行如下的配置server { listen 80; server_name abc.com; #charset koi8-r; #access_log logs/host.access.log main; location /client { #访问客户端路径 proxy_pass http://localhost:81; proxy_redirect default; } location /apis { #访问服务器路径 rewrite ^/apis/(.*)$ /$1 break; proxy_pass http://localhost:82; } }
可以将不同路径的请求分别转发到客户端和服务器端,利用Nginx反向代理技术来实现跨域操作。总结
当然对于跨域问题还有很多前端实现方式。这里我们主要讲关于后端的实现的方式,对于前端实现方式有兴趣的读者可以自己了解。东西不多,都是干活,希望大家多多关注。
看世界杯要准备什么2022年卡塔尔世界杯将于202211月20日卡塔尔作为东道主开始第一场比赛,原定是21号,不过21日首赛并不是东道主,所以经过协商便卡塔尔提前一天,比赛将于12月18日进行决赛,
突然解约走人!real登哥果然想离队了根据记者KellyIko的消息,埃里克戈登已经和LandmarkSports经纪公司解约,将自己的经纪约签到CAA。随后CAA也官宣欢迎戈登的加入这种突然解约更换经纪公司,一般都是
今年火了一种穿法,叫阔腿裤运动鞋,洋气又显高,适合小个子近几年来,阔腿裤也算是时尚圈中入手率最高的单品种类了,宽松肥大的裤腿不仅可以遮住腿上的赘肉,还能打造出随意慵懒的风格。而今年就火了一种穿法,用阔腿裤搭配运动鞋,不仅能满足舒适度的需
菊花娘屋子里放着周杰伦的菊花台,我一边背着歌词一边凝神听着。学唱这么高难度的歌对于我这个五音不全的人来说来说简直是要了命了,可不学还不成,在网上认识的女友昨天留言给我说要在后天与我正式见
大屏电视大降价,双十一正是买大屏电视的好时机十年家电老司机,买家电不迷路!欢迎大家点赞关注!金九银十到了,也是各大行业一年当中的销售旺季。家电市场也不例外,各大彩电厂家投入大量费用开始一系列大型促销活动。存量市场的竞争异常激
销量超100万,5000mAh33W50MP高清双摄,跌至1199在手机市场,用户的关注点永远在高端影像旗舰之上,如近期热度极高的华为Mate50和iPhone14系列。这些高端机的确很优秀,但仅适合高端人群,售价相当高,基本都在5000元以上,
奇瑞新能源终于良心了,经济家用首选对于大部分人来说,从4S店提到车只是开始,后期的用车养车成本才是大事,那今天讲的QQ冰淇淋(参数询价图片)能否在未来帮我们省下一些钱。赶紧来看看它吧。先看下QQ冰淇淋的外观,QQ冰
2023年度缴费,农民一次性补缴3。8万,次月领1573元,是真的吗?2023年度养老保险缴费,农民一次性补缴3。8万元,次月能领1573元?真的吗?2023年度城乡居民养老保险集中缴费已经陆续开始,近期山东淄博等多地就发布了缴费通知,要求在2022
世界第一孙颖莎打疯了,小魔王不留情轰110葡萄牙北京时间10月7日消息,2022年成都团体世乒赛继续进行,女子团体14决赛的一场焦点比赛中,中国队以30击败葡萄牙队,昂首挺进4强。第三盘,世界第一孙颖莎以30战胜伊内斯马托斯,并
何鸿燊二房面临新挑战,竞投葡萄牙赌牌遇对手,或失去赌场经营权何鸿燊家族经营的博彩业形势严峻,正在面临着内外两重的压力,以目前这个阶段的形势来分析,前景不算太明朗。所谓的内指的是澳门赌牌正在进行公开投标,本来按照预期,成功续牌是稳操胜券的,没
2022最受欢迎的四款旗舰手机,你们会选谁?2022年的手机市场竞争依然激烈,经过多轮洗牌以后,很多国产手机不断变好,从口碑体验到设计综合因素考虑,最受欢迎的旗舰手机有以下几款,如果是你会怎样选择呢?1小米12SUltra这